Cookies et consentement multi-terminaux : les nouvelles recommandations de la CNIL

La CNIL a publié, le 16 janvier 2026, une mise à jour de ses recommandations relatives aux cookies et autres traceurs, afin d’y intégrer une pratique de plus en plus répandue : le recueil d’un consentement unique applicable à plusieurs appareils d’un même utilisateur (ordinateur, mobile, tablette, télévision connectée, etc.), également appelée cross-device.

Certaines organisations souhaitent en effet simplifier l'expérience utilisateur en appliquant un choix (consentement ou refus) exprimé sur un terminal à tous les autres terminaux utilisés par la même personne.

La CNIL encadre aujourd’hui cette pratique, qui reste facultative, pour garantir sa conformité au RGPD, notamment en matière de consentement valable.

Cela concerne bien entendu les cookies et autres traceurs nécessitant le consentement de l’utilisateur.

🧑‍💻 Périmètre et protection des autres utilisateurs

La CNIL autorise, sous conditions, la collecte d’un consentement unique applicable à tous les terminaux d’un utilisateur identifié à un même compte. Le consentement n’est plus lié à un appareil ou à un navigateur, mais bien au compte utilisateur.

La pratique du consentement multi-terminaux concerne donc uniquement les « univers logués », c’est-à-dire les environnements dans lesquels l’utilisateur est connecté à un compte (et pas seulement détenteur d’un compte).

D’ailleurs, le consentement multi-terminaux ne doit pas avoir d'effet sur les autres personnes qui utilisent un même appareil. Cela vise en particulier les terminaux partagés, comme un ordinateur familial ou une télévision connectée.

Concrètement, les choix exprimés par un utilisateur lorsqu’il est connecté à son compte (en univers logué) ne doivent pas modifier les réglages déjà enregistrés lorsque le terminal est utilisé hors connexion à ce compte (en univers non logué), notamment par un autre utilisateur.

⚠️ Conditions de légalité

En complément des règles déjà applicables aux cookies et autres traceurs (information, recueil du choix, etc.), la CNIL ajoute deux conditions spécifiques au consentement multi-terminaux :

• ‍Informer clairement l’utilisateur sur la portée de son consentement, avant qu’il ne fasse son choix. Avant d’accepter ou de refuser les cookies ou autres traceurs, l’utilisateur doit comprendre la portée exacte de sa décision. Il doit notamment être informé que son choix s’appliquera à l’ensemble des appareils sur lesquels il se connectera à son compte. Sans cette information préalable, le consentement ne peut pas être considéré comme valable.

Logiquement, le consentement donné pour un appareil préalablement au passage à un mécanisme de consentement multi-terminaux ne pourra pas être considéré valide pour d’autres terminaux. Ainsi, en cas d’évolution vers un mécanisme de consentement multi-terminaux, il conviendra de recueillir un nouveau consentement conforme aux conditions de validité posée par la CNIL dans ses nouvelles recommandations. ‍

• Appliquer la même logique au consentement… et au refus. Si un utilisateur peut donner son accord une seule fois pour plusieurs terminaux, il doit pouvoir refuser ou retirer son consentement avec la même portée, c’est-à-dire une seule fois pour plusieurs terminaux. Ainsi, il n’est pas possible de demander un consentement pour tous les terminaux, mais de n’appliquer un éventuel refus qu’au premier appareil utilisé, puis de redemander le consentement lorsque l’utilisateur se connectera depuis un autre terminal.

La CNIL encourage par ailleurs à laisser à l’utilisateur la possibilité de revenir sur ses choix, terminal par terminal, par exemple via un panneau de configuration au sein d’un centre de préférences accessible via le compte utilisateur. Cette possibilité permettrait en effet à l’utilisateur de différencier ses usages et la gestion de ses données en fonction des contextes dans lesquels il accède au service (depuis son ordinateur personnel ou professionnel, etc.).

🔀 Gestion des contradictions de choix

Lorsque l’utilisateur visite un site sans être connecté à son compte (en univers non logué), il peut être amené à exprimer des choix de cookies et autres traceurs avant de s’authentifier (soit parce qu’il s’agit de sa première visite sur le site via le terminal en question, soit parce qu’il a effacé les traceurs précédemment déposés sur ce terminal). Or ces choix peuvent être différents de ceux enregistrés sur son compte utilisateur (en univers logué).

La CNIL prend en compte cette possible contradiction de choix et propose deux approches pour traiter ce cas :

• ‍Option 1 : donner la priorité aux derniers choix exprimés en univers non logué, quel que soit le terminal utilisé (celui sur lequel l’utilisateur a exprimé son dernier choix, mais aussi tous les autres terminaux concernés), y compris lorsque l’utilisateur navigue en univers logué ;‍
• Option 2 : faire cohabiter les choix selon l’état de connexion, et ainsi :
  
  • appliquer les choix enregistrés dans le compte utilisateur lorsque l’utilisateur navigue en univers logué ; et
  • appliquer les derniers choix exprimés avant authentification lorsque l’utilisateur navigue en univers non logué.

Techniquement, l'option 2 suppose de pouvoir distinguer le suivi de navigation de l’utilisateur selon qu’il est authentifié ou non (par exemple, via des traceurs différents).

La CNIL recommande par ailleurs aux organisations d’appliquer une logique unique pour toutes leurs interfaces (site web, application mobile, etc.) pour éviter toute confusion chez l'utilisateur.

📋 Modalités d’information

La CNIL insiste sur l’importance de bien informer l’utilisateur lorsqu’un consentement multi-terminaux est mis en place. Cette information doit être adaptée aux caractéristiques du consentement multi-terminaux :

• ‍Présente dès le premier niveau de recueil du consentement, par exemple via la fenêtre de recueil du consentement. L’information doit notamment préciser la portée du consentement, à savoir que les choix seront appliqués à tous les terminaux sur lesquels l’utilisateur se connectera à son compte.‍
• Rappelée sur les nouveaux terminaux reliés au compte, immédiatement après authentification, à l’aide d’un bandeau éphémère d'information qui indique la portée des choix effectués et la possibilité de les modifier. L’information doit là aussi préciser la portée des choix effectués, ainsi que la possibilité de les modifier à tout moment.‍
• Adaptée aux éventuelles contradictions de choix : une fois authentifié, l’utilisateur doit être informé (par exemple via le bandeau éphémère mentionné ci-dessus), de manière claire, de la contradiction entre les choix qui viennent d’être formulés avant de s’authentifier au compte et ceux déjà associés au compte. L’information donnée doit alors indiquer :
  
  • pour l’option 1, si les choix associés au compte ont été enregistrés ou modifiés ;
  • pour l’option 2, l’existence d’une contradiction entre les derniers choix exprimés et ceux qui étaient déjà associés au compte, ainsi que le fait que ces derniers continueront de s’appliquer lorsque l’utilisateur est authentifié ;
  • dans les deux cas, les moyens à disposition de l’utilisateur pour modifier ses choix.

👉 Bonnes pratiques

Si votre entreprise a mis en place ou envisage de mettre en place le consentement multi-terminaux, voici les étapes à suivre pour se conformer au RGPD et offrir une expérience utilisateur claire :

✔️ Faire le point sur vos cookies et autres traceurs, et évaluer si le consentement multi-terminaux est pertinent pour votre activité et vos utilisateurs.

✔️ Mettre en place des mentions d’information adaptées au consentement multi-terminaux (dès la fenêtre de recueil de consentement + rappel avec un bandeau éphémère).

✔️ Définir votre logique de référence en cas de contradiction de choix (option 1 ou 2), et l’appliquer de manière uniforme sur vos différentes interfaces (site web, application mobile…).

✔️ Permettre la modification des choix par l’utilisateur (créer un centre de préférences simple et accessible depuis le compte utilisateur et autoriser la gestion des choix terminal par terminal).

✔️ Documenter vos choix en interne (consigner vos décisions et modalités de gestion du consentement multi-terminaux) afin de faciliter les audits et la traçabilité de la conformité RGPD.

En résumé

Le consentement multi‑terminaux facilite la gestion des cookies sur tous les appareils d’un même utilisateur, tout en respectant le RGPD et notamment les terminaux partagés, sous réserve de respecter certaines conditions

Votre entreprise a-t-elle intérêt à mettre en place un consentement multi‑terminaux ?

➡️ Contactez le cabinet pour mettre en place un dispositif conforme et adapté à vos besoins.